邊 動車 分 野 の 簡 能 安全 想 格 に 対処 する 


実務 ガイ ドラ イン 「MISRA-SA」 を 知る 


自動 車 業界 の 要請 は に コー ディ ング ・ ガ イド ライ ン か ら 安 全 性 解析 へ 


ここ で は , 自動 車 の 業界 団体 で ある MISRA(The Motor 
Industry Software Reliability Association) が 策定 し て 
いる ガイ ドラ イン 「MISRA 安全 性 懇 析 (MISRA-SA)」 に つい 
て 解説 する . MISRA-SA は , 2008 年 に 策定 され る 予定 の 機 
能 安全 規格 [ISO 26262」 に 適合 し た 開発 実務 を 実現 する た 
め の ガ イド ライ ン (指南 書 ) と いう 位置 付け に ある . (編集 部 ) 


MISRA The Motor Industry Software Reliabihity Asso- 
ciation: ミス ラ ま た は ミ ズラ と 発音 ) と 聞く と , 皆さん は , 自 
動車 業界 で 用 いら れる C プ ログ ラミ ング ・ ガ イド ライン | MIS 
RA-C」 を 思い 浮か べ る か も し れ ま せん . 実は , MISRA と は, 
ガイ ド ライ ン を 作成 し て いる 業界 団体 の 名 称 で あっ て , ガイ ド 
ライ ン そ の も の で は あり ませ ん . 

MISRA は , 自動 車 関連 ツ フ トウ ェ ア の 安全 性 や 信頼 性 に 関 
わる 研究 と , ガイ ド ライ ン の 作成 を 行っ て いま す . 

「 MISRA Safety Analysi% MISRA 安全 性 解析 : 以降 , MIS 
RA-SA と 表記 )」 も , MISRA が 作成 し て いる ガイ ド ライ ン の 一 
つ で すず 


@ 自動 車 分 野 に お ける 機能 安全 対策 の 実務 指針 
MISRA-SA は , 自動 車 お よび 自動 車 の サブ シス テム で 安全 性 
に 関連 する ソフ ト ウェ ア を 開発 する 技術 者 の た め の , 安全 性 解 
析 に 関す る ガイ ド ライ ン で す . 現在 は 最終 ドラ フト 版 が 配布 さ 
れ , 世界 各国 か ら コ メン ト を 集め て いる と ころ で ずり リ . これ が 
終了 する と 初版 が 発行 され まず 早けれ ば , 2006 年 末 ま で に 発 
行 され る 予定 ). 
自動 車 業 界 で は 今世紀 に 入っ て か ら , 完成 車 で あれ ECU 
( electric control unit) 部 品 で あれ , 搭載 する 組み 込み 制御 ソフ 
トウ ェ ア の 信頼 性 を 明確 に 示す こと を 求め る 声 が 高く な っ て き 
まし た . この 要請 に 応え る た め , C ソ ー ス ・ コ ー ド の 信頼 性 を 


| | 還 
ーー ゴイ MISRA-SA, 安全 性 解析 , 機能 安全 , IEC 61508, ISO 26262, 許容 リス ク 
| | | 
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検証 する 手段 と し て , MISRA-C が 各国 の 自動 車 メ ー カ で 採用 
され た と いう 経緯 が あり ます . 日 本 は この 要請 に 的 確 に 対応 し 
て , ソー ス ・ コ ー ド ・ レ ベル で の 品質 向上 を 果たし まし た . そ 
し て 次 の 課題 が , 安全 性 解析 と いう わけ で す . 

安全 性 検証 と いう 観点 で は , IEC 61508 と その 派生 規格 が 今 
後 の 国際 標 準 に な る と 言わ れ て いま す . 自動 車 分 野 に お ける 派 
生 規 格 と し て ば ISO 26262」 が 2008 年 に 策定 され る 予定 で す . 
MISRA-SA は , この 規格 を 満足 する 開発 実務 を 実現 する た め の 
指南 書 と いう 位置 付け に な り ま す . 

規格 に は , どの 工程 で どう いっ た 文書 ド キュ メン ト ) を こう 
し た 方 法論 で 作り な さい , と いう 定義 が 並ん で いま す . 例え ば , 
航空 宇宙 産業 で の キャ リア の ある 技術 者 な ら ば , 規格 を 読め ば 
どう すれ ば よい か が 分 か り ま すし , 開発 組織 自体 が その 定義 を 
満た す 形 に な っ て いる も の で す . し か し , 一 般 の 自動 車 産業 で 
は , 航空 宇宙 産業 な ど と 比較 し て 発展 の 仕方 が 異な っ た た め , 
技術 者 が エン ジニ アリ ング ・ プ ロ セ ス と 計算 根拠 を 学ぶ 必要 が 
あり ます . さら に , 定式 化 さ れ た 安全 性 解析 に つい て も 知ら な 
い 技 術 者 が 多く 存在 し ます . こう し た 自動 車 産業 の 実情 を 踏ま 
えて 発行 され る の が , MISRA-SA で す . いわ ば , これ か ら 生ま 
れる ISO 26262 に 対処 する た め の , 実務 上 の ガイ ドラ イン と い 
う 位置 付 に な り ま ず 図 1). 

筆者 が MISRA の 存在 を 知っ た の は 1996 年 で し た . それ 以来 
10 年 間 , 彼ら の 活動 を 観察 する 機 袋 一 種 の 幸運 ) に 恵まれ まし 
た . MISRA は 1900 年 代 の 初頭 か ら , 産学 連携 で 来る べき 自動 
車 産業 の 在り 方 を 研究 し , 時 代 の 要請 に 合わ せ て ガイ ドラ イン 
を 発行 し て き て いま す . これ は 一 朝一 タ で は まね で き な い も の 
で す . 幸い , 日 本 は MISRA-C の 策定 に いろ いろ 貢献 し て いる 

の で 注 !。 MISRA-SA に 関し て も 優先 的 に 情報 を 提供 し て も ら え 
る 立場 に あり ます . 本 稿 も MISRA の 了承 の 下 に , ドラ フト 版 
に 基づい て 解説 し て いま す . 


組み 込み シス テム 。 路 頼 性 と 安全 性 を 高め る 
ーー で 寺 【( ョ 9 ョ gg す ヅ ピ つ ひ 太 ヴ ゲ ⑳ ヴ の ゼ で ①Q0Gqーーーーー: 


事前 安全 性 解析 較 


潜在 危険 の 図 
シス テム と 較 リス ト 図 
環境 の 図 
モデ リン グ 図 


リス ク 解 析 図 
リス ク の 評 1 


| 適切 な 図 
フェ ー ズ に 凶 
戻る 較 


販売 後 鐘 


終了 凶 


図 1 MISRA-SA の ライ フ ・ サ イク ル ドラ フト 版 ) 


シス テム 設計 図 


安全 妥当 性 確認 計画 凶 
標 機能 失敗 確率 を 含む ) 図 


安全 機能 要求 較 


詳細 安全 性 較 
解析 較 


検証 妥当 性 
確認 図 


黒 四角 の 数 字 は , IEC 61508 の ライ フ ・ サ イク ル に お ける フェ ー ズ と の 対応 を 示し て いる . 


@ MISRA-SA の 概略 

MISRA-SA に つい て 知り た い 方 は , 何 は さて お き 原 文 を 読む 
の が 一 番 で す 注 2 た だ し , 99 ペ ー ジ の 英文 を 一 気 に 通 読 で きる 
気力 と 語学 力 が 必要 で す . そこ まで 労力 コス ト ) を か ける こと 
に た め ら い が あ る 方 に は , 本 稿 を 読ん で 全体 の 骨子 を 理解 し て 
お き , 翻訳 版 が 出 て か ら 詳細 を 理解 する , と いう 方 法 を お 勧め 
し ます . 

以下 に , ドラ フト 版 の 概略 要約 ) を 示し ます . 

e 第 1 章 : 本 書 の 目的 , IEC 61508 や DEF STANO0-56 と の 

関係 

MISRA-SA を 策定 し た メン バ は IEC 61508 の 策定 に も か か 
わっ た 人 た ち で あり , ISO 26262 の 委員 で も あり ます . また , 
MISRA-C に よる コー ド 品質 改善 も 推進 し て きた わけ で すか ら , 
標準 ルー ル を 作る だ け で は 現場 に 適用 する の は 難し いこ と を 理 
解 し て いま す . この た め , 過去 10 数 年 の 経緯 を 解説 し て , 
MISRA-SA の 位置 付け を 明確 に し て いま す . 

e 第 2 章 : 安全 性 保障 の 開発 文化 , 安全 性 を 扱う た め の 概 念 

安全 性 マネ ー ジ メン ト と いう 言葉 を 用い て, 製品 開発 の 中 で 安 


注 1: ここ で は 主 に , 自動 車 技術 会 の テク ニカ ル ・ ペ ー パ , 自動 車 工業 会 の 
サブ セッ ト ・ ガ イド ライ ン , 2002 年 4 月 に 発足 し た MISRA-C 研 究 会 
の MISRA-C 解 説 書 な ど を 指し て いる . MISRA-C 研 究 会 は 現在 , NPO 
法人 で ある SESSAME( 組込み ソフ ト ウェア 管理 者 ・ 技術 者 育成 研究 
会 ) の ワー キン グ ・ グ ルー プ と し て 活動 し て いる . 

注 2: ドラ フト 版 は 一 般 に は 公開 され て いな い . 興味 の ある 方 は 直接 MISRA 
に 掛け 合う か , SESSAME 事務 局 に 連絡 し て みる こと を お 勧め する . 


全 性 を 明示 的 に 設計 に 取り 込む た め の 仕 組み や 考え 方 を 解説 し て 
いま す . この 仕組 み が あ れ ば , 開発 組織 に お いて 国際 標準 が 要 
請 す る さま ざま な ド キュ メン ト を 合理 的 に 作成 で きる は ず で す . 
e 第 3 章 : 従来 の V 字 開発 プロ セス に 安全 性 保障 を 加味 する 
V 字 開発 プロ セス は , よく 知ら れ て いる と ころ で す . この プ 
ロ セ ス に 対し て , 安全 性 を 保障 する た め の 工 程 を どの よう に 加 
える べき か が 解説 され て いま す . 

e 第 4 章 : 事前 安全 性 解析 

事前 安全 性 解析 と は , シス テム 開発 の 事前 も し く は 初期 ) に 
行う べき 製品 の 安全 面 の 解析 作業 で す . 特に プロ グラ ミン グ 可 
能 な 電子 デバ イス いわ ゆる マイ コン な どの こと . IEC 61508 で 


“ programmable electronic” と 表現 され て いる . PE と 略す ) を 


新規 に 用 いて 製品 を 開発 する 場合 に , その リス ク 評 価 を 含め て 
解析 を 実施 する 方 法 が 記述 され て いま 具体 的 な 項目 に つい て 
は , 図 1 に 示 ず 事前 安全 性 解析 」 ブ ロッ ク の 中 の 記述 を 参照 の 
ご こと か 
e 第 5 章 : 詳細 安全 性 解析 
# 細 安全 性 解析 と は , 安全 性 解析 を より 具体 的 に 記述 し た も 
の で す .「 シス テム 設計 」,「 類推 的 解析 と 演 絆 的 解析 」,「 結果 
解析 」 な どの 項目 が 含ま れ ま す . 
第 6 章 : 参考 文献 
e 付録 . シス テム と 潜在 危険 hazard) 特定 モデ ル 

B. What lf 解析 


に IN 
ロレ 
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Appendix 2 


C. HAZOP 実施 へ の 助言 

D. リ スク ・ モ デル と リス ク 評価 

E. 制御 性 パラ メー タ と 分 類 

F. FMEA 実施 へ の 助言 

G. FTA 実施 へ の 助言 
付録 と し て 30 ペ ー ジ を 費やし て , 安全 性 設計 の 分 野 で 使わ れ 
て いる 技法 を 自動 車 に 適用 する た め の 示 唆 が 書か れ て いま す . 


@ 安全 性 計算 の 根拠 と 背景 
機能 安全 の 基本 的 な 前 提 は , 起き て いな い 事 象 を 予防 する こ 
と で す . この 意味 で , プロ グラ マ の 日 常 的 な デバ ッ グ 作業 と は 
本 質 的 に 異な る 計算 の 上 に 成り 立っ て いる の が 機能 安全 で す . 
MISRA-SA は , そう し た 安全 性 計算 の 根拠 に つい て も 述べ て い 
ます . 
1) 1 台 の 自動 車 を シス テム と みな し て 安全 性 を 計算 
MISRA-SA は , 1 台 の 自動 車 を シス テム と みな し た 安全 性 計 
算 と 開発 を 狙い に し て いま す . つま り , 自動 車 を 群 と と ら え た , 
ITS intelligent transport systems: 高度 道路 交通 シス テム ) 的 
な 全体 の 安全 保障 と いう 概念 は 扱っ て いま せん . MISRA-SA を 
策定 し た 中 心 メ ン バ は , 欧州 交通 シス テム の 基本 アー キテ クチ 
ャ を 策定 し た 人 た ち で す が , この 領域 は 電 要 や 実験 デー タ の 量 
な どの 理由 か ら , 扱え る 範囲 に 入れ て いな いと 思わ れ ま す . 
2) 欧州 の 社会 常識 ・ 見 解 を 定量 化 
MISRA-SA は 安全 性 議論 の 根拠 と し て , 英国 に お ける 交通 事 
故 死者 や 各種 の 社会 的 安全 性 研究 の 結果 を 引用 し て いま す . 尋 
本 は , 以下 に 示す いく つか の 公共 許容 リス ク の 基 茶 これ だ け 
の 危害 が 出 て も や む お を 得 な いと 割り 切れ る 上 限 の 基準 ) か ら 推 定 
し て いま す . 
e 英国 の 年 間 交 通 事故 死 確率 は 10- す オ ー ダ で ある 日 本 も 同じ ). 
また , その ほとん ど が , 人 間 の 不 注意 や 操作 ミス な ど に 起因 し 
て いる 


e ド イツ に お ける 許容 リス ク の 判断 基 輝 MEM Minimum 
Endogeneos Mortality)」 に お いて , ほか の 産業 に お ける 最小 
自然 致死 基 漂 例え ば , 原子 炉 周 辺 で 生活 し た 場合 に 被爆 に 
よっ て 死亡 する 確率 の 上 限 ) の うち 技術 的 な 原因 例え ば , 原 
子 炉 配 管 の 疲労 に よる 破断 予測 の 不一致 な ど ) に よる 確率 は 
10- 5 と 上 限 を 定め て いる 

e 英国 の 健康 安全 局 HSE: Health and Safety Executive) は 

( 個人 へ の 受益 性 を 加味 し て ) 10~ 6 と 設定 し て いる 
これ ら の 基準 か ら , 潜在 危険 が 事故 に つなが る 危険 性 を 加味 

し て , リス ク ・ レ ベル と 時 間 当 た り の 障害 危険 側 故障 ) 発生 の 

許容 確率 を 示し て いま す . 
その 結果 , MISRA-SA で は プロ グラ ミン グ 可 能 な 電子 デバ イ 

ズ PE) シ ステ ム に お いて 許容 で きる リス ク を 10 3 と 定義 し て 

いま す . し か し , これ で は 許容 り リ スク ぎり ぎり で 安全 性 計算 を 

し て し まう 可能 性 が 高く , 計算 ミス な ど に より 社会 的 に 許容 で 

き な い 自動 車 が ちまた を 走り 回 る こと も 考え られ ます . また , 

日 本 の 品質 管理 は , 欠陥 ゼロ zero defect) を 目標 に 改善 を 行っ 

て きた の で , 最初 か ら 高め の 目標 を 持つ べき で ある と いう 声 も 

あり ます . 


b 


に 


参考 ・ 引 用 * 文献 
( 1) Guidelines for the Safety Analysis of Vehicle Based Progra- 
mmable System% Draft Post Public review Rev. 13), July 2006. 


ふた が み ・ た か お 
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筆者 プロ フィ ー ル ツ 

組み 込み シス テム や ソフ ト ウェ ア の 開発 関連 の コン サル ティ ング , 開 
発 ツ ー ル の 応用 を し ご と と し て いる . 特に , 自動 車 の 組み 込み ソフ ト 
ウェ ア の 信頼 性 向上 と 標準 化 , SESSAME や TOPPERS プロ ジェ クト 
な どの 技術 者 教育 用 の 実験 ・ カリ キュ ラム 開発 な ど に 力 を 入れ て いる . 


好評 発売 中 
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IEEE1666 と し て 標準 化 さ れ て いま す . 


携 の 参考 書 で す . 


シス テム ・ レ ベル ・ モ デリ ング か ら ビ ヘイ ビア 合成 まで 
SystemC を 使っ つっ た ハー ドウ ェ ア 設 計 
桜井 至 著 B5 変 型 判 176 ペー ジ 定価 3,570 円 税込 ) ISBN4-7898-3616-9 
本 書 は , So System on a Chip) や 大 規模 ASIC Application Specific Integrated Circuit) の 開発 を 効率 化す る 切り 札 と し 
て 注目 が 集まっ て いる SystemC 言語 に 関す る 解説 書 で す . SystemC は C++ を ベー ス と する シス テム ・ レ ベル 設計 言語 で , 


本 書 で は , C/C++ 言語 ベー ス の LSI 設計 の 概念 や LSI 設計 で 利用 され る SystemC 構 文 を 解説 し , さら に SystemC の 記述 例 
を 多数 収録 し て いま す . また , 開発 プロ ジェ クト へ の 適用 例 が 増え て いる ビヘイビア 合成 高位 合成 ) ツ ー ル の 利用 を 意識 し 
た 記述 を 紹介 し て いま す . 本 書 は , 大 規模 LSI の 開発 に 携わる 設計 エン ジニ ア や 検証 エン ジニ ア , 設計 マネ ー ジ ャ に と っ て 必 
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